Russische Geheimdienste haben Tausende Konten auf verschlüsselten Messenger-Diensten wie Signal und WhatsApp übernommen. Das FBI warnt vor einer globalen Spionagekampagne, die gezielt westliche Regierungsmitarbeiter und Journalisten ins Visier nimmt.
Globale Spionagekampagne zielt auf Vertrauensnetzwerke
Die Warnung kommt direkt aus Washington: Das Federal Bureau of Investigation (FBI) und die Cybersicherheitsbehörde CISA haben am Freitag, den 20. März 2026, eine gemeinsame öffentliche Warnung herausgegeben. Demnach haben mit Russland in Verbindung stehende Hacker Tausende Einzelkonten bei Messenger-Diensten kompromittiert. Das Besondere: Die Angreifer umgehen die als sicher geltende Ende-zu-Ende-Verschlüsselung nicht durch technische Schwachstellen, sondern durch geschickte soziale Manipulation.
Viele Nutzer wiegen sich bei Messenger-Diensten in falscher Sicherheit, doch gezielte Zugriffe auf WhatsApp und Co. nehmen drastisch zu. Dieser Gratis-Ratgeber zeigt Ihnen, wie Sie Ihr Android-Smartphone mit einfachen Schritten effektiv vor Datendieben und Hackern schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Zu den Hauptzielen der anhaltenden operation zählen aktuelle und ehemalige US-Regierungsbeamte, Militärpersonal, politische Entscheidungsträger und Journalisten. FBI-Direktor Kash Patel bestätigte, dass die spezifischen Cyber-Akteure identifiziert seien, die mit russischen Geheimdiensten in Verbindung stünden. Der Zugriff sei global und habe bereits Tausenden Konten von Personen mit hohem nachrichtendienstlichem Wert unbefugten Zugang verschafft.
Social Engineering: Der Mensch als Schwachstelle
Wie funktioniert der Angriff? Die Hacker nutzen ausgeklügelte Phishing-Methoden, um an die vollständige Kontrolle über Nutzerkonten zu gelangen. Eine gängige Taktik: Sie geben sich innerhalb der Apps als automatisierte Support-Accounts oder „Signal Support“-Chatbots aus. Diese gefälschten Kontakte melden sich bei den Zielpersonen und behaupten, es gebe ein Sicherheitsproblem oder die Kontoverifizierung sei notwendig.
Der Betrug dreht sich oft um die Registrierungs- und „Verlinkte Geräte“-Funktionen der Apps. Die Angreifer tricksen Nutzer aus, damit diese ihre SMS-Bestätigungscodes oder persönlichen Account-PINs preisgeben. In einigen Fällen versenden Hacker bösartige QR-Codes, die als legitime Sicherheitswarnungen oder Gruppeneinladungen getarnt sind. Scannt ein Nutzer diesen Code oder gibt die PIN ein, kann der Angreifer sein eigenes Gerät mit dem Opferkonto verknüpfen. So können die russischen Operative Live-Konversationen mitlesen und auf den gesamten Nachrichtenverlauf zugreifen – ohne dass der Nutzer etwas bemerkt.
Internationale Warnungen und Verbindung zu Sandworm
Die aktuelle Angriffswelle wird von Cybersicherheitsforschern mit etablierten russischen Bedrohungsgruppen in Verbindung gebracht, vor allem mit APT44, besser bekannt als Sandworm. Diese Gruppe, die von der Einheit 74455 des russischen Militärgeheimdienstes GRU betrieben wird, hat eine lange Geschichte zerstörerischer Cyberoperationen und Spionage.
Die Warnung aus den USA folgt auf ähnliche Alarme europäischer Verbündeter. Niederländische Nachrichtendienste, darunter der Allgemeine Nachrichten- und Sicherheitsdienst (AIVD), hatten bereits am 9. März 2026 vor einem groß angelegten, globalen Versuch gewarnt, Signal- und WhatsApp-Konten zu infiltrieren. Demnach waren auch niederländische Regierungsangestellte unter den ersten Opfern, was wahrscheinlich sensible sicherheitsrelevante Informationen preisgegeben habe.
Da herkömmliche Updates oft nicht ausreichen, um raffinierte Angriffe auf Ihre privaten Daten abzuwehren, ist proaktives Handeln gefragt. Ein spezieller Leitfaden bietet jetzt kompakte Checklisten und Anleitungen für geprüfte Apps und automatische Sicherheitsprüfungen auf Ihrem Gerät. Kostenlosen Sicherheits-Ratgeber herunterladen
Der Übergang von lokalisierten Taktiken auf dem Schlachtfeld zu einer globalen Kampagne, die US- und NATO-Beamte ins Visier nimmt, deutet auf ein breiteres strategisches Ziel hin. Sicherheitsexperten beobachten, dass APT44 von teuren Zero-Day-Exploits weg und hin zur Ausnutzung falsch konfigurierter Geräte und zum Ernten von Zugangsdaten wechselt, um dauerhaft in hochwertigen Netzwerken präsent zu bleiben.
Abwehrmaßnahmen: Der Schutz liegt beim Nutzer
Als Reaktion auf die Welle von Kontenübernahmen haben CISA und das FBI mehrere kritische Verteidigungsmaßnahmen für Personen in Hochrisikosektoren umrissen. Die wichtigste Empfehlung: Nutzer dürfen ihre Verifizierungscodes oder Account-PINs niemals mit jemandem teilen, egal wie offiziell die Anfrage erscheinen mag. Sowohl Signal als auch WhatsApp haben klargestellt, dass sie niemals per In-App-Nachricht Kontakt aufnehmen, um Sicherheitsdaten anzufordern.
Die Sicherheitsbehörden drängen Nutzer außerdem dazu, regelmäßig ihre Einstellungen für „Verlinkte Geräte“ in ihren Messenger-Apps zu überprüfen, um sicherzustellen, dass keine unbefugten Geräte verbunden sind. Die Einführung von phishing-resistenter Multi-Faktor-Authentifizierung (MFA) und die Nutzung von Registrierungssperren werden als wesentliche Schutzmaßnahmen hervorgehoben. Für Personen in Regierungs- und Militärrollen empfehlen die niederländischen Geheimdienste, Gruppenchats auf verdächtige Aktivitäten zu überwachen, wie etwa das doppelte Auftreten eines Kontakts oder ungewöhnliche Nachrichten von vertrauenswürdigen Identitäten.
Trendwende in der Cyberkriegsführung
Die Hinwendung zum Social Engineering markiert einen wachsenden Trend im Cyberkrieg zwischen Staaten: den Weggang von teuren, technischen Exploits hin zu kostengünstigeren und besser skalierbaren, menschenzentrierten Angriffen. Da Verschlüsselungstechnologien robuster und schwerer zu knacken werden, konzentrieren sich Gegner wie Russland auf die Einfallstore, die weiterhin verwundbar bleiben: die Nutzer selbst.
Der Erfolg dieser Kampagne könnte eine Neubewertung erzwungen, wie sichere Kommunikation in offiziellen Funktionen gehandhabt wird. Während Signal und WhatsApp für die Allgemeinheit ein hohes Maß an Privatsphäre bieten, unterstreicht die FBI-Warnung, dass keine Plattform völlig „unhackbar“ ist, wenn der Nutzer dazu gebracht werden kann, Zugang zu gewähren. Dies führt zu erneuten Forderungen nach staatlichen Kommunikationstools, die nicht auf kommerzielle Infrastrukturen oder SMS-basierte Verifizierungssysteme angewiesen sind, die anfällig für Abfangung und Spoofing sind.
Die Integration von KI-gestützter Deepfake-Technologie könnte die Lage weiter verkomplizieren. Können Angreifer ihre aktuellen Social-Engineering-Taktiken mit KI-generierten Sprach- oder Video-Nachrichten kombinieren, wird die Fähigkeit, selbst hochrangige Beamte zu täuschen, dramatisch zunehmen. Derzeit bleibt die wichtigste Verteidigung die Aufklärung der Nutzer und die strikte Einhaltung von Sicherheitsprotokollen. Die Nachrichtendienste bleiben in höchster Alarmbereitschaft, während sie daran arbeiten, die dieser globalen russischen Operation zugrunde liegende Infrastruktur zu identifizieren und zu zerschlagen.
